geocast
Goto Top

IPSEC Zyxel USG 100 mehrere User

Einen schönen windigen Abend zusammen

Ich habe gerade eine IPSEC Verbindung mit meiner USG 100 (aktuellste Firmware) und Shrewsoft VPN Client erfolgreich aufgebaut.

Da ich jetzt mehrere Clients (5 Stück) per VPN Anbinden möchte, stelle ich mir eine Grundsatzfrage zu VPNs.

Man muss ja jeweils eine Gateway und eine Connection erstellen (Phase 1 und Phase 2). Muss man dann pro Client jeweils eine erstellen? Oder können mehrere über eine einzige Konfiguration?
Falls doch alle über eine gehen, wie handhabt ihr es mit dem Pre-Shared Key? Falls er einmal abhanden kommt, müsste man das ja bei jedem neu einfügen.
Eine möglichkeit über zusätzlichen Usernamen und Passwort kenne ich nicht, außer über L2TP/IPSEC, was ich eher nicht verwenden wollte.

Danke für euer Input

Content-Key: 267946

Url: https://administrator.de/contentid/267946

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: sk
sk 02.04.2015 um 00:50:39 Uhr
Goto Top
Hallo,

Zitat von @geocast:
Man muss ja jeweils eine Gateway und eine Connection erstellen (Phase 1 und Phase 2). Muss man dann pro Client jeweils eine
erstellen? Oder können mehrere über eine einzige Konfiguration?

Im Mainmode funktioniert nur eine Gatewaypolicy mit dynamischem Peer pro vorhandener öffentlicher IP-Adresse. Man kann zwar auch mehrere anlegen, aber im Mainmode funktioniert das Ruleswapping nicht, da die Zywall nicht wissen kann, welche Gatewaypolicy der Client gerne hätte. Im Aggressivemode hingegen ginge das, da während des verkürzten Handshakes im Agressivemode einige Informationen im Klartext übertragen werden, die im Mainmode verschlüsselt sind. Man könnte im (nicht ratsamen) Aggressivemode also durchaus für jeden User eine eigene Gatewaypolicy verwenden, damit jeder einen eigenen PSK hat. Von Sicherheitsbedenken gegen den Aggressivemode abgesehen skaliert diese Lösung aber nicht wirklich. Deshalb gibt es ab ZLD 4.10 die Möglichkeit, in der selben Gatewaypolicy benutzerabhängige PSKs zu verwenden. ZLD 4.10 gibt es für die USG100 aber nicht mehr, da EoL.


Zitat von @geocast:
Eine möglichkeit über zusätzlichen Usernamen und Passwort kenne ich nicht

Doch das geht! Per XAuth. Einfach mal die erweiterten Einstellungen einblenden...


Zitat von @geocast:
...außer über L2TP/IPSEC, was
ich eher nicht verwenden wollte.

Warum nicht?


Zitat von @geocast:
Falls doch alle über eine gehen, wie handhabt ihr es mit dem Pre-Shared Key? Falls er einmal abhanden kommt, müsste man
das ja bei jedem neu einfügen.

Das Mittel der Wahl in diesem Szenario ist die zertifikatsbasierte Authentifizierung. Dann stellt sich das Problem nicht. Jeder User bzw. VPN-Client bekommt sein eigenes Cert und dieses wird bei Verlust zurückgezogen.


Gruß
sk
Mitglied: geocast
geocast 02.04.2015 um 10:39:38 Uhr
Goto Top
Danke für die Ausführliche erklärung.
Was würdest du dann empfehlen wie man vorgeht, wenn man mehrere Clients haben will, die sich gleichzeitig Verbinden wollen? IPs habe ich natürlich nur eine.

Danke!
Mitglied: sk
Lösung sk 02.04.2015, aktualisiert am 08.04.2015 um 11:12:57 Uhr
Goto Top
Zitat von @geocast:
Was würdest du dann empfehlen wie man vorgeht, wenn man mehrere Clients haben will, die sich gleichzeitig Verbinden wollen?

Verwendung von Zertifkaten zur Authentifizierung der Clients.
Hier eine Anleitung (zugegeben steinalt - sollte aber auch mit der neuen GUI so funktionieren): http://www.zyxeltech.de/files/1.Guide_to_build_VPN_tunnel_between_USG_a ...

Gruß
sk
Mitglied: geocast
geocast 07.04.2015, aktualisiert am 08.04.2015 um 11:12:52 Uhr
Goto Top
Danke für die Anleitung.
Eines Verstehe ich aber noch nicht ganz.

Das Zertifikat erstellen etc. macht durchaus Sinn.

Aber wenn ich dann in Phase1 vom IPSEC, dann das Zertifikat auswähle, muss ich ja das neue Zertifikat das ich erstellt habe aussuchen. Wie mache ich das dann, wenn ich für jeden Client eines Erstellt habe? Ich müsste dann nach wie vor für jeden VPN eine Gateway machen, was ja nicht geht im Main Modus wie du gesagt hast...
Oder übersehe ich etwas?

Tante EDIT:

Sorry hatte das falsch im Gedächnis, man muss/sollte das Default Zertifikat auswählen, das andere ist ja unter Trusted drin.

Jetzt habe ich eine client.crt, client.p12 und eine usg.crt Datei.

Ist es richtig, dass ich das dann in folgender Reihenfolge habe:

Server Certificat Autority File -> usg.crt
Client Certificat File -> client.crt
Client Private Key File -> client.p12

In den Logs kommt auf der Zywall, das das Zertifkat nicht gefunden werden kann, obwohl es unter Trusted ist...

#EDIT2:

So habe es am Ende doch noch rausgefunden:

Server Certificat Autority File -> usg.crt
Client Certificat File -> client.p12
Client Private Key File -> client.p12

zusätzlich noch local Identity -> ANS.1 Distinguished Name
Remote Identity -> Any

Jetzt funktioniert es Problemlos, danke nochmal!